VNC roulette

Der er nogen der har lavet en site der gør hvad NSA, FE, GCHQ og alle mulige andre har gjort de sidste 10 år: Portscannet VNC.

F.eks har de fundet:

(Det er ikke sikkert det er i Danmark, det kunne i princippet også være i Norge)

Det er ret lærerigt at bladre lidt i billederne, der danner sig et tydeligt men pinligt billede:

  1. Retail IT terminaler/kasseapparater, f.eks apoteker.

  2. Tekniske installationer, vandkraft, ventilation, spildevand, olieboringer, tankstationer, AV anlæg, solceller, vindmøller.

  3. Private computere med malware

  4. KVN boxe.

  5. Kopimaskiner i hoteller

  6. (Danfoss EM-100 - whatever that is...)

Det siger sig selv at ingen VNC viewere burde være tilgængelige på denne måde.

Det er også ret tydeligt at mange af disse VNC servere er der nogen der har "leget" med, hvilket f.eks bør få "Ytteråa Kraftverk" til at gå lidt i panik:

Det er endnu mere tydeligt at det i stort omfang er leverandører og installatører der er totalt inkompetente, jvf. f.eks Danfoss EM100 ovenfor af hvilke der er alt for mange til at det kan være et tilfælde.

Jeg græmmes...

Hvorfor kræver det en autorisation at sætte en stikkontakt eller vandhane op, mens enhver klamphugger må sætte hvad som helst på internettet ?

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (24)

Brian Hansen

På Shodan giver et skræmmende billede, ja :)
Så meget udstyr, direkte på internettet uden firewalls eller routere foran.
At VNC så 99% af tiden ikke er krypteret gør det kun værre.

Edit:
Min lærling fandt f.eks. ud af at vores ISP i Singapore havde leveret en router, med telnet aktiveret ud mod WAN siden.
Og så ville de tilmed have penge for at rette deres brøler... !

Anne-Marie Krogsbøll

Dette er langt over mit vidensniveau, men det lyder vanvittigt interessant og vigtigt. Er der nogen, der i forholdsvis få og velvalgte, letforståelige sætninger kan forklare mig og andre IT-idioter, hvad dette egentligt drejer sig om, og hvor de store risici ligger?

Er det også noget, man skal bekymre sig om på sin private pc, eller er det primært noget, man skal forsøge at bide det offentlige i haserne over? I givet fald, hvad kan man gøre i forhold til sin private pc?

N.M Møller

Vnc, er fjernskriveborde (fjernstyring). Man kan tilgå computer A via netværk/internet og se “skrivebordet” på computer B.

Problematikken er lidt det samme som var fremme med folks netværks kameraer man kunne tilgå over nettet.

Det bunder i dovenskab eller uvidenhed. Skal det på internettet (og det skal det ofte ikke, kun lokalnetværk) skal det død og pine sættes korrekt op med stærk password og kryptering og sikkershuller kunne lappes senere (produktet kunne opdateres I dets levetid).

Anne-Marie Krogsbøll

Tak, N. M. Møller. Det lyder godt nok ikke godt, at man åbenbart, hvis jeg har forstået det rigtigt, på den måde kan få adgang til vitale samfundsfunktioner - ret rystende faktisk.

Bliver det mon aldrig bedre med sikkerheden i det offentlige?

Og hvordan kan man se, om man skulle være så uheldig, at ens egen pc er udstyret med en sådan bagdør?

Claus Juul

Leverandør styring er super vigtigt, som kunde kan man ikke antage at leverandøren har styr på hverken hvad der skal leveres, hvordan eller hvor sikkert det skal leveres.
Hvordan og hvor plejer at stå i kontrakten, men sikkerhedsaspektet, fremgår sjældent særligt detaljeret.

Niels Danielsen

Bliver det mon aldrig bedre med sikkerheden i det offentlige?

Det har ikke specielt noget med det offentlige at gøre, de viste åbne enheder tilhøre både offentlige institutioner, private firmaer, og private personer.
Jeg tror at de fleste af disse er konfigureret bevidst, da langt det meste netværksudstyr der vender imod Internettet er NAT/PAT'ed, og der derfor skal åbnes porte for at få det til at virke.
Det er nok mere ligegyldighed, og det ændre vi når vi har fået udstyret op og køre holdning, hvorefter det ryger i glemme bogen når udstyret virker.

Og hvordan kan man se, om man skulle være så uheldig, at ens egen pc er udstyret med en sådan bagdør?

En VNC åben Port er nemt at finde med en port scanner. Men da du typisk sidder bag en Firewall, vil en bagdør der blot venter på et 'opkald' ikke være til megen gavn for kriminelle.
Men en simpel portscanner finder ikke en bagdør der 'ringer hjem', hvilket en bagdør normalt vil gøre. Desuden er det ikke kun din PC du skal være bekymret for, men alt det du kobler på hjemme netværket. F.eks. Router, NAS, Set top Box, TV, Netværkshøjtalere etc.

F.eks. den der Danfos ting ser ud til at være en lille box der kan holde øje med frysere i et supermarked.

Maciej Szeliga

Og hvordan kan man se, om man skulle være så uheldig, at ens egen pc er udstyret med en sådan bagdør?


Det her er ikke bagdøre i normal forstand... det er en applikation som er installeret fuld bevidst for at kunne fjernstyre den givne computer... det kan være at det er gjort for at kunne styre et kraftværk hjemmefra eller for at kunne bruge sin PC fra en iPad.
Flere af de viste screenshots er div. Linux udgaver (Ubuntu, Fedora, CentOS) og der er også Solaris, flere af maskinerne har ud over VNC også TeamViewer på (som også er en fjernstyrings program men i modsætning til VNC fungerer det ikke direkte).
Du har sikkert allerede VNC på din Linux da mange Linux distributioner er født med en TightVNC (den kører dog ikke medmindre man selv sætter den til det).

Lars Bjerregaard

Hmm, man græmmes indeed. Jeg lægger mærke til at der er TeamViewer på ret mange af de desktop computere der ses. Er en default installation af det program mon virkeligt så usikker?

Morten Wegelbye Nissen

efter 2 minutter på den side har jeg fundet en win2k3 og en winxp maskine - sidst men ikke mindst - min helt egen nye gratis streamings tjeneste.

Umiddelbart syntes jeg problemet er så banalt at omtalen ikke bør blive til mere end en fakta boks i komputer for alle.

Hvad fa'en kan vi gøre? Skal der ikke lov til?

N.M Møller

Vil gætte det er maskiner der er blevet powned, ofte bruges TW jo til ransomware osv.

Kender flere som har fået opfordringer til at installere teamviever af suspekte personager.

Tror ofte det er fordi man ikke lige bruger 10 min. på at gennemgå sikkerheden. Er teamviver ikke passworded 4 tal som default.

Pest eller kolera

Bruger man et open/free produkt som vnc kræver det ofte tid og hjernevridning at konfugurere med kryptering fx. :-)

Bruger man propræritært såsom TW, med en lukket protokol m.v, er det jo rent “trust us” man er ude I.
.

Anders Lorensen

Klikkede lige igennem en ca. 100 billeder - der er mange seriøse problemer med sikkerheden mange steder. - Dem har PHK dækket meget godt med hans blog. (Eneste kritiske jeg lige fandt var noget der lignede en læge klinik i Los Angeles området, med navn og adresser på patienter.)

Men der er også nogle sjove ind i mellem. Jeg fandt en maskine der kørte en makro i en firefox browser der kørte imod Google Play, for at have flere hits/downloads på et "Fallen Souls" spil!

Og så fandt jeg en Tysk maskine der stod og kørte et makro program der producerede guld i "Guild Wars" med 6 karaktere. En af dem hed "Kami Has Kaze", og var igang med dens "Sunday routine"!

Og et ISS "Please rate our Toilet!" - Med smileys i toiletter! (et kig værd! IP: 171.1.82.29)

Iøvrigt utroligt at man idag kan lavet et komplet scan af hele IPv4 internettet på 1 port på 1 time!. Mon IPv6 kommer til at ændre på det.

Kim Schulz

jeg kan tilføje et par amerikanskelæger (en enkelt hvor fulde persondata for et en række patienter blev vist på billedet).
Ligeledes en del tankstationer og deres betalings skærm/kasse apparater inkl status for standerne og meget andet.
Der var også et vandværk hvor pumper/filtre kunne slåes fra og et par styringer til noget fabriks halløj (mon ikke man kunne skabe en del ravage den vej igennem

Log ind eller opret en konto for at skrive kommentarer